信息系统安全管理制度与信息资产和设备管理制度.pdf

《信息系统安全管理制度与信息资产和设备管理制度.pdf》由会员分享，可在线阅读，更多相关《信息系统安全管理制度与信息资产和设备管理制度.pdf（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息系统安全管理制度与信息资产和设备管理信息系统安全管理制度与信息资产和设备管理制度制度信息系统安全管理制度信息系统安全管理制度为进一步规范公司管理，防范企业_资料以及_数据外泄，经过公司研究决定，从即日起，规范相关关键信息、账户的管理。公司根据现在公司的管理需求，统一收回所有公司信息管理账号，集中管理，专人保管。各个部门如要使用可填写账户使用申请单。具体管理办法如下：第一章总则第一条为加强公司用户账号管理，规范用户账号的使用，提高信息系统使用安全性，特制定本制度。第二条本制度中系统账号是指应用层面及系统层面（平台、操作系统、数据库系统、信息管理系统、防火墙及其它网络设备）的用户账号。第三条本

2、规定所指账号管理包括：1、应用层面用户账号的申请、审批、分配、删除/禁用等的管理2、系统层面用户账号的申请、审批、分配、删除/禁用等的管理3、用户账号_的管理。第四条系统拥有部门负责建立岗位权限对照表（附件一），制定工作岗位与系统权限的对应关系和互斥原则，对具体岗位做出具体的权限管理规定。第五条信息管理中心根据系统拥有部门提交的岗位权限对照表增加系统岗位权限控制。第六条用户账号申请、审批及设置由不同人员负责。第 1 页 共 14 页第七条各信息系统需设置超级管理员、系统管理员、系统管理监督员和普通用户。超级管理员、系统管理员与系统管理监督员不能由同一人担任，并不能是系统操作用户。1、超级管理员

3、：负责按照领导审定的信息系统权限申请表（附件二）进入系统管理员的授权管理。2、系统管理员：负责按照领导审定的授权进行录入，并对系统运行状况以及系统用户数据录入进行管理。系统管理员应对录入的授权和系统运行状态建立台帐，定期向系统管理监督备案。3、系统管理监督员：负责对录入的数据和授权进行监督，并建立用户权限台帐，定期对系统管理员录入的授权和系统运行状态以及用户录入数据进行监督检查。4、普通用户：负责对系统进行业务层面的操作。第八条信息管理中心将定期抽取系统岗位和用户清单进行检查，发现可疑授权、可疑使用将根据实际情况予以通报修正，并将检查结果记入信息化年度考核中。第二章普通账号管理第九条申请人使用

4、统一规范的 信息系统权限申请表（附件二）提出用户账号创建、修改、禁用、启用等申请。第十条账号申请人所属部门负责人及系统拥有部门负责人根据岗位权限对照表审核申请人所申请的权限是否与其岗位一致，确保权限分配的合理性、必要性和符合职责分工的要求。第十一条在受理申请时，权限管理人员根据申请配置权限，在系统条件具备的情况下，给用户分配独有的用户账号或禁用用户账号权限，以使用户对其行为负责。一旦分配好账号，用户不得使用他人账号或者允许他人使用自己的账号。第 2 页 共 14 页第十二条新员工入职或员工岗位发生变化时，应主动申请所需系统的账号及权限。第十三条人员离职的情况下，该员工的账户应当被及时的禁用。离

5、职人员的离职手续办理完毕后。员工所属部门以书面方式通知系统管理部门，由系统管理部门实施用户帐户及权限的回收操作。第十四条账号管理人员建立各种账号的文档记录，记录用户账号的相关信息，并在账号变动时同时更新此记录。第三章_账号和超级用户账号管理第十五条_账号指在系统中有专用权限的账号，如备份账号、权限管理账号、系统维护账号等。超级用户账号指系统中最高权限账号，如 administrator（或 admin）、root 等管理员账号。第十六条只有经授权的用户才可使用_账号和超级用户账号，严禁共享账号。第十七条信息系统管理部门每季度查看系统日志，监督_账号和超级用户账号使用情况，并填写系统日志审阅表（

6、附件三）。第十八条尽量避免_账号和超级用户账号的临时使用，确需使用时必须履行正规的申请及审批流程，并保留相应的文档。第十九条临时使用超级用户账号必须有监督人员在场记录其工作内容。第二十条超级用户帐户必须由信息管理中心管理（如没有超级管理员，信息管理中心必须掌握系统管理员权限）。系统管理员和系统管理监督员可通过信息管理中心与系统拥有部门协商管理(如系统管理员由系统拥有部门管理，信息系统权限申请表必须以邮件方式电子文档交予信息管理中心备案便于监督审核)。第二十一条信息化各系统交使用单位验收合格后，必须由信息管第 3 页 共 14 页理中心和系统拥有部门共同督促系统开发方删除临时测试帐户。第四章用户

7、账号及权限审阅第二十二条系统拥有部门指定专人负责每季度对系统应用层面账号及权限进行审阅，并填写信息系统权限清理清单（附件四）。第二十三条信息管理中心指定专人负责每季度对系统层面账号及权限进行审阅，并填写信息系统权限清理清单。第二十四条员工离职后，账号管理人员及时禁用或删除离职人员所使用的账号。如果离职人员是系统管理员，则及时更改_账号或超级用户口令。第五章用户账号口令管理第二十五条用户账号口令发放要严格保密，用户必须及时更改初始口令。第二十六条用户账号口令最小长度为_位(系统超级用户、管理员和监督员口令最小长度为_位)，并具有一定复杂度。第二十七条用户账号口令必须严格保密，并定期进行更改，_更

8、新周期不得超过_天。第二十八条严禁共享个人用户账号口令。第六章附则第二十九条本制度与公司相关标准、规范相冲突时，应按照公司相关标准、规范执行。第三十条本制度适用于由信息管理中心归口管理的所有系统。第三十一条本制度由信息管理中心起草并解释。第三十二条本制度从发布之日起施行。第 4 页 共 14 页信息资产和设备管理制度信息资产和设备管理制度第一章范围及职责第一条本制度适用于信息资产的管理，包括：获取、分类、使用和处置以及安全设备的管理。第二条本制度中的信息资产是指可以存储信息数据的信息载体，包括：硬件、软件、数据（电子数据）、文档（纸质文件）、人员、服务设施、其他。第三条_单位办公室（以下简称：

9、办公室）主要负责信息资产的分类、汇总、使用与处置方法，以及安全设备的选型、检测、_、登记、使用、维护和储存。第四条计算机资产统计信息的范围包含但不限于：计算机主机名、IP 地址、MAC 地址、使用人/责任人、所属部门、物理位置、服务器的内外网 IP 对应等。第二章信息资产的获取第五条软件、硬件设施、服务性设施等的获得主要以采购的方式获得，采购按照有关规定进行采购和验收。第六条数据信息资产的获得来源主要为：外包供应商、市场信息、其他信息。第三章信息资产的分类第七条各部门根据业务流程列出信息资产清单并将每项资产的资产类别、信息资产编号、资产现有编号、资产名称、所属部门（组别）、管理者、使用者、地点

10、等相关信息记录在资产清单上。第八条资产的分类原则和编号原则如下：1、硬件1)计算机设备：(台式机、笔记本)、服务器;第 5 页 共 14 页2)存储设备：磁带机、磁盘整列、磁带、光盘、软盘、移动硬盘等；3)网络设备：路由器、交换机、网关、程控交换机等；4)传输线路：光纤、双绞线、电话线(布线)、电源线；5)安全设备：硬件防火墙、入侵检测、网络隔离设备（如网闸）、身份验证等；6)办公设备：打印机、复印机、扫描仪、传真机、碎纸机、写字白板、应急照明设备等；7)保障设备：动力保障设备（UPS、变电设备）、空调、保险柜、文件柜、门禁、消防设施等；8)其他设备；2、软件如：操作系统、系统软件（offic

11、e/AutoCAD）、应用软件（生产软件）、网管软件、杀毒软件、财务软件、开发工具和资源库等；3、电子数据存在电子媒介的各种数据资料。如：源代码、数据库数据、各种数据资料、系统文档、运行管理规程、计划、日周月报告、财务报告（电子版本）、用户手册、方案、电子设计图纸等；4、纸质文件纸质的各种文件。如：传真、电报、合同、纸张图纸等；5、服务性设施如：供电、供水、保洁、门禁、消防设施等；6、人员如：各级领导、各级正式雇员、临时雇员等；7、其他。第 6 页 共 14 页第九条按照涉及国家_的信息系统分级保护技术标准和信息安全管理体系建设要求，按照信息资产的公开和敏感程度，将信息资产化分为不同的保护等级

12、，并对不同等级的信息资产进行保护，确保信息安全。各部门要将所有的移动介质和电子文件按照敏感性和重要程度分为不同的保护等级，保密级别与保密期限由持有人自行定义。第十条识别各个流程的各类关键信息资产，最终办公室汇总，并每半年进行一次更新，确保重要信息资产的完备性（重要信息资产没有遗漏和缺失）和准确性（信息资产的保密级别和重要程度能够真实反映信息资产的状态）。第十一条对信息资产进行编号，同时对重要信息资产进行标识：文档需有固定版本编号规则；硬件设备粘贴在设备明显位置处。第四章信息资产的使用和处置（一）硬件资产的使用和处置第十二条硬件的使用处置包括购买/接收、使用（交接、维修、重用）、处置等有关内容。

13、第十三条购买新的硬件设备或者从其他部门接收转移的设备时，要核对设备清单，对相关设备进行测试验证，然后登记。由资产管理员对硬件设备进行管理，明确设备管理职责。第十四条硬件资产的保存1、机房选址要避免在地下室、一楼（水淹和渗水）和顶层（渗水和失火时火向上燃烧），同时考虑相邻楼层的活动（避免热源和渗水）；2、处理敏感数据的信息处理设施放在适当安全的位置，以减少在设备在使用期间信息被窥视的风险，保护储存设施以防止未授权访第 7 页 共 14 页问；3、设备的选址应采取控制措施以减小潜在的物理威胁的风险，例如偷窃、火灾、爆炸、烟雾、水（或供水故障）、温度、湿度、尘埃、振动、化学影响、电源干扰、通信干扰、

14、电磁辐射和故意破坏；4、禁止在信息处理设施附近进食、喝饮料和抽烟；5、对专门保护的部件要予以隔离，以满足特殊安全要求；第十五条硬件资产的日常使用安全1、所有的硬件资产必须明确设备的使用人员/管理人员，明确职责；2、硬件资产的使用人（或管理人），在使用或管理硬件资产时，要注意硬件资产的安全性、_性、完整性，防止信息载体的毁坏和信息的_，防止信息处理设施的滥用；对设备定期进行维护保养，发生毁坏，丢失等问题时能够及时处置；3、新硬件设备接入网络按照相关规定处理；4、在人员上岗时，可根据需要为上岗人员配备必要的办公设备，包括电脑（笔记本或台式机），电话机，其它办公用品；办公室根据该工作人员所处部门、工

15、作性质为其设置相应的办公网访问权限；5、需要使用移动计算设备（包括笔记本、无线网卡、移动硬盘和 U 盘）的用户，应得到办公室负责人的同意后方可使用；6、对于无人职守的设备，要明确管理人员，加强物理安全控制。第十六条硬件资产的转移安全1、当设备迁移时，必须先对设备中存储的重要信息进行备份；2、设备迁移完成后，必须检查设备是否损坏；3、设备迁移出本单位时，设备中禁止存放重要信息，以防止_第 8 页 共 14 页信息泄露或泄露的风险增加。第十七条办公地点外使用任何信息处理设备必须通过管理者授权。场外设备的保护要考虑下列内容：1、离开本单位的设备和介质（如现场的设备和介质），必须有人值守或委派负责人(

16、或者公共场所放置的需要有人值守或监视系统)；2、制造商保护设备用的说明书要始终加以遵守，例如，防止暴露于强电磁场内；3、根据风险的不同采取足够的安全保障措施，以保护离开办公室设备的安全。第十八条硬件资产的处置和重用1、存储设备销毁前，必须确保所有存储的敏感数据或授权软件已经被移除或安全重写；2、服务器、主要网络设备的处置由办公室进行安全处置；3、台式机、打印机、传真机、扫描仪等IT 设备的处置由办公室进行并做登记；4、如需报废时，应向主管部门提出报废申请，经批准后报废。（二）软件资产的使用和处置第十九条软件资产的使用1、所有的软件资产必须设置专人管理，明确职责，避免软件资产的丢失，_；2、所有

17、正版软件实体由办公室专人保管，在_软件时要规定使用权限，防止非授权访问；3、按照系统运行维护管理制度中“备份与恢复管理”章节要求，对重要系统进行备份；4、当人员离职或岗位变动，需要回收有关的软件，必要时，由第 9 页 共 14 页办公室技术人员对离职人员使用的软件进行卸载，删除。第二十条软件资产的处置：对过时或确认无效的软件资产，定期进行清除。（三）电子数据的使用和处置第二十一条电子数据的使用1、对所有电子数据进行分类/分级，标识未授权人员的访问限制，不同安全级别的数据应存储在不同的区域，按类按级传达，便于信息的安全管理；2、不同类型的电子文件按照统一规律存放在个人电脑或服务器中，便于整理和查

18、阅以及工作交接时转移；3、所有电子文件保存在电脑或服务器中，并按照备份和恢复管理制度规定的备份频率定期进行备份；4、对于存于服务器上的电子数据的访问，根据服务器提供服务的不同与部门职务的不同，设置不同的访问权限，避免非授权访问；5、对于内部公开级别的电子信息，其使用要控制在内部，禁止带出；6、对于_级别以上的电子文件的处理过程，必须保障数据的完整性、_性和可用性；7、对于_级别以上的电子文件的使用，系统应进行审计；8、对于_级别以上的电子文件的传输，必须采取适当的安全措施加以保护，如加密传输、分散传输等；9、在整理电脑中的电子数据时，要小心操作，确认后再进行处理，避免由于误操作将有用的电子数据

19、删除。（四）纸质文档的使用和处置第二十二条纸质文档的使用第 10 页 共 14 页1、所有的_级以上的纸质文件资料要（通过标签或其它方式）标识出资产的保密级别，分类存放，不同安全级别的纸质文件应按类按级传达，便于纸质文件的安全管理；2、对于比较重要的纸质文件（_级别以上）必须保存在带锁的文件柜或保险柜中，钥匙由专人保管；3、对于纸质文件的保存期限依据实际要求制定和实施；4、对于比较重要的纸质文件的使用过程，必须注意信息的保密，确保信息的完整性和可用性；5、对于比较重要的纸质文件的传输，必须采取适当的安全措施加以保护，如专人递送、分散传输等。第二十三条纸质文档的处置1、实体数据资料达到保存期限后

20、，必须将其撕毁或者粉碎到读不出来为止，避免实体数据资料的_；2、对于重要纸质文件的销毁，如财务纸质文件，要求两人以上在场，防止信息的_。（五）人员招调、在职、离职第二十四条所有人员的招调、在职、离职安全管理按照用户管理制度的要求进行实施。（六）服务性资产的使用和处置第二十五条所有服务性资产要设置专人管理，定期维护，避免损坏、非授权使用或丢失。涉及服务性的合同，相关管理部门在签署合同时，应审核涉及信息保密的相关条款。第二十六条当服务性设施损坏，如果可以维修，由负责人联络相关人员进行维修，如果涉及到第三方，依据用户管理制度对第三方进行管理。第 11 页 共 14 页第二十七条当服务性设施损坏，不可

21、维修，只能报废时，应联络相关管理部门提出报废申请。第五章安全设备管理（一）设备的选型第二十八条严禁采购和使用未获得销售许可证的信息安全产品。第二十九条应优先采用我国自主开发研制的信息安全技术和设备。第三十条避免采用境外的_设备。第三十一条如需采用境外信息安全产品时，必须确保产品获得我国权威机构的认证测试和销售许可证。第三十二条使用经国家_管理部门批准和认可的国内_技术及相关产品。第三十三条终端物理隔离必须使用国家保密局认可的隔离卡或采用国家保密局认可的其他方式。（二）设备检测第三十四条信息系统中的所有安全设备必须符合_国家标准数据处理设备的安全、电动办公机器的安全中规定的要求，其电磁辐射强度、

22、可靠性及兼容性也必须符合安全管理等级要求。（三）设备_第三十五条设备符合系统选型要求并获得批准后，方可购置_。第三十六条凡购回的设备均须在测试环境下经过连续_小时以上的单机运行测试和联机_小时的应用系统兼容性运行测试。第三十七条主机、服务器、网络设备、安全设备等上架运行前必须通过安全检测，禁止_有默认操作系统的主机、服务器直接接入系统。第 12 页 共 14 页第三十八条通过上述测试后，设备进入试运行阶段，试运行时间的长短根据业务需要动态（范本）设定。第三十九条通过试运行的设备才能接入生产系统，正式运行。（四）设备登记第四十条对所有设备均应建立严格完整的购置、移交、使用、维护、维修和报废等记录

23、，认真做好资产登记和管理工作，保证设备管理的正规化。（五）设备使用管理第四十一条每台设备的使用均应指定专人负责并建立详细的运行日志。第四十二条由责任人负责进行设备的日常清洗及定期保养维护，做好维护记录，保证设备处于最佳状态。第四十三条保证设备在其适宜的使用环境下工作。第四十四条一旦设备出现故障，管理员如实填写故障报告，通知有关人员处理。（六）设备维修管理第四十五条设备由专人负责维修，并建立满足正常运行最低要求的易损件的备件库。第四十六条根据每台设备的使用情况及系统的可靠性等级，制定预防性维修计划。第四十七条对系统进行维修时必须采取数据保护措施，安全设备维修时应有安全管理员在场。第四十八条对设备

24、进行维修时必须记录维修对象、故障原因、排除方法、主要维修过程及维修有关情况等。第四十九条对设备应规定折旧期，设备到了规定使用年限或因严第 13 页 共 14 页重故障不能恢复，由专业技术人员对设备进行鉴定和残值估价，并对设备情况进行详细登记，提出报告书和处理意见，由主管领导和上级主管部门批准后方能进行报废处理。（七）设备储存管理第五十条设备储存环境应符合出厂标称要求。第五十一条建立详细的设备进出库、领用和报废登记。第五十二条必须定期对储存设备进行清洁、核查及通电检测。第五十三条安全产品及保密设备必须单独储存并有相应的保护措施。第六章附则第五十四条本制度由_单位负责解释。第五十五条本制度自发布之日起生效执行。第 14 页 共 14 页